Workshop Kyberbezpečnost 15. června 2018

Transkript

1 Workshop Kyberbezpečnost 15. června 2018 Mgr.Bc. Martin Vejvoda Rozvoj systémové podpory digitální gramotnosti DigiStrategie 2020 CZ /0.0/0.0/16_020/

2 Jaký je rozdíl mezi http a https? A proč si na to dávat pozor?

3 Proč vzniklo HTTP - HyperText Transfer Protocol? V internetových počátcích se administrátoři sítí museli dohodnout, jak budou sdílet informace na internetu. Shodli se na postupu, který nazvali HTTP Jde o komunikační protokol, který na internetové síti slouží k přenosu dat, dříve pouze hypertextových, dnes již však i fotografií a videí.

4 Co v adresní řádce znamená http Komunikace je otevřená a přenášené informace může po cestě mezi prohlížečem a serverem kdokoliv: číst, včetně hesel a dalších citlivých údajů, například z kontaktního formuláře případně změnitelná

5

6 někdo může vědět co posíláte a přijímáte, ale také může do komunikace zasahovat. může podvrhnout zcela jiné informace v okamžiku, kdy jste připojení, např. online bankovnictví. místo neškodných inzerátů posílat útočný kód, co do vašeho počítače dostane malware.

7 Malware - škodlivý software, zákeřný software - program určený k poškození nebo vniknutí do počítačového systému. Pod souhrnné označení malware se zahrnují: počítačové viry, počítačové červy, trojské koně, crimeware, špehovací software (spyware), vyděračský software (ransomware) reklamní software (adware)

8 nešifrovaně přistupovat kamkoliv znamená, případný útočník získá data zahrnující všechny informace, nejen to, co na stránce vidíme, ale také to, co tam děláme, což přináší velká rizika.

9 Aby se takovému odposlechu zabránilo, byl vyvinut HTTPS (anglicky Secured, zabezpečený) protokol, který veškeré informace mezi serverem a Vaším počítačem přenáší v zašifrované podobě.

10 https v adresní řádce (zpravidla vizuálně indikované i nějakým zámečkem či jinou formou) znamená, že komunikace mezi vámi a webem probíhá šifrovaně a (teoreticky) nikdo nemůže tuto komunikaci odposlouchávat.

11

12 Proto je důležité aby https bylo vždy aktivní tam kde: odesíláte přihlašovací údaje, řešíte y, online bankovnictví, nakupujete, přenášíte jakékoliv osobní či citlivé informace...

13 Pozor To že v prohlížeči máte ikonku šifrovaného připojení, ale neznamená, že web na který jste právě přišli je bezpečný. Není to nic jiného, než příznak toho, že komunikace mezi vámi a webem probíhá šifrovaně a (teoreticky) nikdo nemůže tuto komunikaci odposlouchávat.

14 Podezřelé odkazy Podvodné přesměrování bohužel odhalíte velmi obtížně, pokud vůbec. Nepoznáte žádný rozdíl v adresní řádce prohlížeče a vizuální obsah webu bude buď totožný, nebo velmi podobný stránce, kterou jste chtěli navštívit. Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že může jít o podvodnou webovou stránku.

15 odkaz směruje na špatnou adresu, doménové jméno v adrese u se neshoduje s oficiálním názvem domény společnosti. podezřelé odkazy

16 V adresním řádku je uvedena podezřelá webová adresa, která nesouhlasí s oficiální adresou společnosti. Chybí bezpečnostní certifikát. podezřelé odkazy

17 Přihlašování a hesla - pravidla pro tvorbu hesel - jednofaktorové x dvoufaktorové ověření - správci hesel

18 Heslo představuju klíč pro přístup k různým typům účtů: v počítači, firemní síti službám obchodům portálům na internetu

19 Co se může stát pokud dojde k odcizení hesla: ke ztrátě kontroly nad počítačem, převedení peněz z vašeho bankovního účtu uskutečnění on-line plateb vaším jménem, ukradení identity a její zneužití pro různé typy trestné činnosti.

20 Jaké heslo? Při tvorbě hesla by neměla být hlavním kritériem pouze snadnost zapamatování, ale také jeho bezpečnost. Heslo by mělo odolat útokům od odhadování až po prolomení hesla hrubou silou.

21 Bezpečné heslo by mělo splňovat následující kritéria: mělo být dostatečně dlouhé (min. 8 znaků), složité a přitom snadno zapamatovatelné každý další znak v heslu mnohonásobně zvyšuje ochranu, kterou heslo poskytuje. Heslo by mělo obsahovat minimálně 8 znaků, ideální je 14 a více znaků.

22 Bezpečné heslo by mělo splňovat následující kritéria: Mělo by obsahovat velká a malá písmena, čísla a speciální znaky Kombinujte písmena, číslice a symboly. Čím rozmanitější znaky heslo obsahuje, tím obtížnější je ho uhodnout. Další důležité aspekty: Čím méně typů znaků heslo obsahuje, tím delší musí být. Heslo skládající se z 15 náhodných písmen a číslic je přibližně 33 tisíckrát bezpečnější než heslo tvořené 8 znaky z celé klávesnice. Nemůžete-li vytvořit heslo obsahující symboly, je třeba udělat jej mnohem delší, abyste dosáhli stejné úrovně ochrany. Ideální heslo je dlouhé a obsahuje různé typy znaků.

23 Bezpečné heslo by mělo splňovat následující kritéria: Nemělo by obsahovat slovo, které lze nalézt ve slovníku Nemělo by být stejné jako Vaše uživatelské jméno Nemělo by mít logický vztah k uživateli (přezdívka, jméno manželky, rodné číslo apod.) Nemělo by obsahovat opakující se znaky a posloupnosti.

24 Nejpoužívanějšího hesla

25 Neprozrazujte je dalším osobám. Schovejte hesla před známými a členy rodiny (hlavně před dětmi), kteří by je mohli sdělit dalším, méně důvěryhodným osobám. Chraňte zaznamenaná hesla.

26 Neposkytujte hesla v u nebo v odpovědi na ovou žádost. Jakýkoli s žádostí o heslo nebo ověření hesla na webu je s nejvyšší pravděpodobností podvodný. Hesla pravidelně měňte. Složitější heslo může být bezpečné delší dobu.

27 Nezadávejte hesla v počítačích, nad kterými nemáte kontrolu. Například počítače v internetových kavárnách, počítačových laboratořích, sdílených systémech, kioskových systémech, na konferenčních místech a na letištích nelze považovat za bezpečné pro jakékoli osobní použití kromě anonymního prohlížení internetu. Nepoužívejte tyto počítače k on-line kontrole elektronické pošty, pracovní pošty, bankovních účtů, k návštěvám konverzačních skupin a přístupu k dalším účtům, které vyžadují uživatelské jméno a heslo.

28 Ověření identity jednofaktorové x dvoufaktorové ověření

29 Jednofázové ověření identity pomocí uživatelského jména a hesla. Využívá většina služeb na internetu. Tento způsob je nejméně spolehlivý, protože spoléhá jen na faktor znalostí. To znamená, že pokud dojde k úniku hesla, tak ověření přestává být bezpečné.

30 Dvoufázové ověření identity je proces, který zahrnuje dva nezávislé způsoby, jak ověřit totožnost uživatele při přihlašování počítačům v síti, nebo k přihlašování k různým službám na internetu. Například internetové bankovnictví, a sociální sítě.

31 Příklad Bankomaty vyžadují dvoufázové ověření. Aby klient dokázal, že je tím, co tvrdí, systém vyžaduje dvě položky. Platební kartu faktor vlastnictví a dále osobní identifikační číslo (PIN) faktor znalostí. V případě ztráty karty je účet v bezpečí, protože zloděj nezná PIN. Totéž platí v opačném případě. Zloději je PIN bez karty k ničemu.

32 Správce hesel velmi jednoduchý program. Jedná se o databázi, která uchovává název služby, uživatelské jméno, heslo a případně nějaké další související údaje. Tato databáze je potom chráněna jedním "super heslem", které ji dokáže odemknout.

33 Jakého správce hesel zvolit? Správců hesel jsou stovky. Liší se počtem podporovaných platforem, funkcemi a celkovou architekturou. Volte tedy podle toho, jak vám který program vyhovuje.

34 Tři nejpoužívanější password managery jsou: KeePass 1Password LastPass

35 SPAM PHISHING Podezřelé přílohy

36 SPAM - nevyžádaná pošta. Spočívá v hromadném rozesílání ů uživatelům, kteří o ně nestojí. Zpravidla obsahují reklamu či hoaxové zprávy. Mohou také obsahovat viry a nebo podvodné nabídky. Hoax - poplašná zpráva, která varuje před vymyšleným neexistujícím nebezpečím. Je to falešná poplašná zpráva, která se nezakládá na pravdě, ale uživatelé ji uvěří a sami jí šíří dál em nebo přes instant messangery.

37 Jak se proti spamu bránit? Zbytečně nezveřejňovat svou ovou adresu na internetu, tj. neregistrovat se v podezřelých, neznámých formulářích nebo soutěžích. (Na internetu jsou roboti, kteří sbírají ové adresy za účelem rozesílání spamu.) Na konci zprávy bývá tlačítko Odhlásit (Unsubscribe). Správně by vás po kliknutí na odhlášení měla tato funkce skutečně odhlásit, ale pokud se jedná o podvodný , často se přihlásíte jen k odebírání dalších spamových zprav. Pokud si tedy nejste stoprocentně jisti, že jde o newsletter či obchodní sdělení, k jehož zasílání jste dali dříve souhlas, neklikejte. Přemýšlejte, buďte ostražití a neotevírejte jakoukoli příchozí spamovou zprávu. Většina spamů je odesílána z uživatelova počítače bez jeho vědomí, protože je jeho počítač napaden virem. Doporučuje se tedy používat aktualizovaný operační systém + firewall + aktualizovaný antivir, jinak může rozesílat spam i váš počítač.

38 Výraz PHISHING pochází ze slova fishing, tj. rybaření. Přeneseně můžeme říct, že útočník hodí návnadu a čeká, než se uživatel (oběť) chytí. Jedná se o speciální techniku (sociálního inženýrství) používanou na internetu se snahou získat citlivé údaje (přihlašovací údaje, hesla, čísla kreditních karet). Principem těchto zpráv je věrohodné napodobení oficiální žádosti banky nebo podobné instituce a vynutit si od adresáta jeho přihlašovací údaje na odkazované stránce. Po zadání údajů oběti útočník získává přihlašovací údaje. Velkým problémem phishingu je to, že podvržené stránky jsou velmi věrohodné a těžko rozeznatelné. Proto musíte vědět, jak phishing rozeznat a jak se mu bránit.

39 Jak se proti phishingu bránit? Doručené y ignorujte, neklikejte na žádné odkazy v u, pro přihlášení používejte oficiální stránky. Buďte opatrní. Mějte na paměti, že phishing nemusí být spojen jen s tématem elektronického bankovnictví, ale je to např. i snaha o získání hesla do u nebo jiných služeb. Buďte opatrní, než se někde přihlásíte či zaregistrujete. Myslete na to, že žádná instituce, a už vůbec ne bankovní instituce, po vás nikdy nebude žádat přihlašovací údaje em. Toto se řeší oficiální formou, nikoli e- mailem. Používejte zabezpečené spojení. Když phishing pochází ze zahraničí, většinou ho rozeznáte díky špatné češtině, jako je skloňování slov atd. Aktualizovaný internetový prohlížeč a ový klient informují uživatele, že se jedná o phishing. V neposlední řadě mějte za každých okolností aktualizovaný operační systém, firewall a aktualizovaný antivirus.

40 obezřetní při otevírání souborů zaslaných od někoho, koho neznáte, nebo jste od něj žádný soubor nečekali. Škodlivá příloha ale může přijít i od důvěryhodného zdroje, jehož ový účet napadli hackeři a byl zneužit k šíření malware. Proto je třeba dávat opravdu velký pozor na typy souborů, které zpráva obsahuje. Některé mohou svými názvy nebo ikonami vzbuzovat dojem, že se jedná o legitimní dokument nebo mediální soubor. Jde třeba o ikony Word, PDF, MP3 nebo JPEG. Samotný název dokumentu má ale odlišnou příponu. Název wordovského dokumentu například nekončí.doc nebo.docx, ale jinými písmeny, které nekorespondují s ikonou Wordu.

41 Digitální stopa je informace zanechaná uživatelem v prostředí internetu Informace, které po sobě uživatelé internetu zanechávají, se dělí na aktivní a pasivní. Aktivní - veškeré informace, které o sobě uživatel dobrovolně a vědomně zveřejní prostřednictvím různých služeb. Například se jedná o: profily a následné příspěvky zanechané na sociálních sítích y, sms, historie chatu různé úřední údaje Pasivní - jedná se o soubor informací, který bez našeho přímého záměru vznikající při interakci v prostředí internetu: IP adresa vyhledávané výrazy na internetu údaje o času stráveném na určité webové stránce (cookies) poskytovatel připojení, lokace

42 Možnosti zneužití digitální stopy krádež osobních informací (údaje z kreditních karet, rodné číslo, ová adresa) Kyberšikana jedná se o specifický druh šikany, který k útokům využívá informační komunikační technologie. Kyberstalking zneužívání informačních a komunikačních technologií ke stallkingu. Zdroj informací pro personalisty - z volně dostupných informací na sociálních sítích mohou zaměstnavatelé získat velké množství informacích o stávajících i o budoucích zaměstnancích. Sledování návyků uživatelů - ve většině případů je realizováno navštívenou webovou stránkou, nebo tzv. třetími stranami reprezentovanými sběrateli dat a reklamními společnostmi.

43 Odstranění digitálních stop Smazání digitálních stop v dnešní době je prakticky nemožné. Závisí proto na samotném uživateli, jak své aktivní stopy bude kontrolovat. Následky aktivních digitálních stop se dají minimalizovat například tím, že budeme používat více přihlašovacích jmen a e- mailových adres. Pasivní stopy mají určitou dobu platnosti uchování dat. Uživatelé mohou jen zabránit dodatečnému sběru dat, například pomocí softwarových řešení nebo správou cookies. Poté zbývá jen vyčkat, než uplyne stanovená doba uložení a již získaná data budou smazána. Ovšem na rozdíl od aktivní digitální stopy nemáme nad vznikem a následnou správou pasivní stopy prakticky žádnou kontrolu.

44 Rizika sociálních sítí Uvědomte si, že to, co na internetu zveřejníte, už většinou nemůžete vzít zpět. Pečlivě si proto rozmyslete, co o sobě chcete sdělovat. Denně je prostřednictvím sociálních sítí ukradeno několik desítek identit. Mnohdy to uživatelé ani netuší. Pokud to zjistí, jen málokdo ví, jak se může bránit. Nejčastěji jsou vystaveny rizikům na internetu děti. Informace o školácích denně vyhledává několik set slídilů a mohou cíleně sbírat osobní údaje, fotografie nebo intimní materiály.

45 Jak se bránit v případě zneužití údajů Kontaktujte technickou podporu služby s žádostí o smazání údajů. V závažných případech neváhejte kontaktovat policii. Mýtus: Internet je anonymní. Skutečnost: Nikdo není na internetu anonymní. Většina provozovatelů udržuje logy k jednotlivým uživatelským účtům a ty pak na základě žádostí předává policii. Informace získané z připojení, mohou významně přispět k dopadení pachatele.

46 Pokud se vám stane na internetu nějaké příkoří nebo se stanete svědky nějaké nestandardní situace, nenechte si ji pro sebe Neuvádějte na veřejném profilu telefonní číslo nebo adresu. Neposílejte nikomu svoji intimní fotografii, nikdy nevíte, kde se může objevit. Udržujte hesla (k u i jiná) v tajnosti, nesdělujte je ani osobě blízké či kolegovi v práci. Nikdy neodpovídejte na neslušné, hrubé nebo vulgární maily a vzkazy. Nedomlouvejte si schůzku přes internet, aniž byste o tom neřekli někomu jinému Nevěřte každé informaci, kterou na internetu získáte Když s někým nechcete komunikovat, nekomunikujte Nesdělujte informace typu, kdy jedete na dovolenou, po návratu by vás mohlo čekat překvapení Při používání webové kamery buďte obezřetní, kdokoli může na druhé straně hovor nahrávat Než cokoli potvrdíte, přečtěte si podmínky užívání

47 Děkuji za pozornost